Verschlüsslung (ssh, nfs, shfs, nis)

[daFreak]

Hey!

Ich hab einen Proxy und dieser hat eine ssh-anbindung mit key... von außen komm ich mit dem key ohne probleme drauf und von innen eigentlich ebenfalls.

Nur jetzt hab ich mir überlegt:

1. Da ich ebenfalls NIS auf diesem Proxy laufen und ebenfalls NFS um die
home-verzeichnisse zu exportieren (die bei einem bestimmten user auch den ssh-key enthalten, damit ich auf den proxy komme) ist das ein wenig blödsinn weil
NFS=unverschlüsselt und
NIS=unverschlüsselt

2. Jetzt gibt es 2 Möglichkeiten:
Entweder ich konfiguriere ssh so das ich vom meinem internen netzwerk über bestimmte user nur über passwort reinkomme (was mir auch besser gefällt, da ich dann keine keys ins netzwerk stelle, was garantiert auch einen sicherheits-faktor darstellt und mir das einloggen erschwert)
oder
Oder ich stelle die home-verzeichnisse verschlüsselt ins netz! Ich habe auch schon sshfs und shfs ausprobiert nur das will nicht wirklich klappen!

Kennt jemand sichere alternativen oder hat jemand ganz andere ideen?

[nil]

2. Jetzt gibt es 2 Möglichkeiten:
Entweder ich konfiguriere ssh so das ich vom meinem internen netzwerk über bestimmte user nur über passwort reinkomme (was mir auch besser gefällt, da ich dann keine keys ins netzwerk stelle, was garantiert auch einen sicherheits-faktor darstellt und mir das einloggen erschwert)

Benutze lieber Private-Keys mit einer entsprechenden Passphrase.

[daFreak]

ich weiß das das geht...
ich weiß jetzt nur nicht ob mir das wirklich weiterhilft...

[nil]

Weiterhelfen wird es dir wahrscheinlich nicht. Denn wenn du irgendeinen Dienst über SSH tunneln willst, so musst du beim Aufbau der SSH-Verbindung die Passphrase eingeben. Die Frage ist, ob du das willst.
Wenn dein Clientsystem einigermaßen sicher ist, dann kannst du es ja auch erst mal mit einem Benutzer und ausgetauschten Key ohne Passphrase versuchen.
Zum Thema NFS über SSH gibt es bestimmt bei Onkel Google viele Treffer. Und das mit dem NIS habe ich noch nicht ganz verstanden. Macht das Sinn?

[daFreak]

ja, also mit nis führe ich die zentrale benutzerverwaltung:
das heißt ja quasi wenn ich nur "benutzer1" bei ssh zulasse dann sieht es folgendermaßen aus:

1. ich melde mich mit "benutzer1" am client an
2. benutze den key vom home verzeichnis das ja ebenfalls vom "proxy" über nfs exportiert wird und melde mich über ssh bei genau demselben benutzer "benutzer1" auf dem "proxy" an, das heißt das im home-verzeichnis gleichzeitig der key und die authorized_keys stehen

ich mein... klar, es geht... aber sinnvoll ist es ja eher weniger und ich denke unsicher dazu

dann wäre es mir lieber das sich clients intern nur über passwort anmelden und clients extern mit key und vielleicht auch passphrase, was natürlich auch nicht optimal ist, da die passwörter bei nis klartext übers netz gehen

[nil]

Vielleicht solltest du sofort eine richtige VPN-Lösung aufbauen, dann brauchst du dir keine Gedanken um NIS und NFS machen, da alles verschlüsselt übertragen wird.
Nur der VPN-Tunnel muss direkt beim Starten des Clients erzeugt werden, welches bei geeignetem Schlüsselaustausch leicht möglich sein sollte.
Die Authentisierung kann dann in jedem Fall über NIS laufen.

[daFreak]

ja klar, vpn ist nichts schlecht...
aber vielleicht gibt es auch intern eine bessere lösung!
kann ich es vielleicht bei ssh einstellen, dass ich für intern nur passwörter benutze und nach außen hin keys? hab schon gegoogled aber nix gescheites gefunden
übers internet benutze ich auch user die nicht über nis erstellt wurden, deshalb ist es mit dem vpn "erstmal" noch nicht so wichtig

[daFreak]

keiner ne idee?

[Neko]

Also OpenSSH lässt sich da glaube ich nicht nach Interfaces verschieden konfigurieren. Eine Möglichkeit wäre zwei verschiedene laufen zu lassen und an die Interfaces zu binden. Hab ich aber noch nie probiert ...

Aber ich verstehe noch nicht ganz wo dein Problem liegt? Warum möchtest du von den Keys auf normale Benutzer runter? Mit den Keys könntest es dann ja wenigstens so hinkriegen das man kein Passwort braucht ...

[nil]

Generell ist es deinem Anwender im Normalfall freigestellt, ob er ein Passwort oder Keys benutzt, vielleicht solltest du dem Anwender diese Freiheit auch lassen.

[daFreak]

nein, bei mir nicht, da ich den server "nur" auf key-authentifizierung eingestellt habe, da passwort nach außen einen kleinen sicherheitsfaktor darstellt.
gerade das ist ja der punkt!

und auf jedem rechner einen neuen benutzer anzulegen mit einem lokalen home-verzeichnis um den server-key auch lokal zu halten damit dieser nicht unverschlüsselt über nfs übertragen wird ist ein wenig mühselig und außerdem kann sich dann jeder den key schnappen nach lust und laune... vor allem wenn ich dann auch noch wlan in betrieb nehme

deshalb: am besten kennwort intern und key per internet
ist das nicht irgendwie möglich?

Eine Möglichkeit wäre zwei verschiedene laufen zu lassen und an die Interfaces zu binden. Hab ich aber noch nie probiert ...

klar, an sich ne gute idee, aber realisierbar?

[Neko]

Eine Möglichkeit wäre zwei verschiedene laufen zu lassen und an die Interfaces zu binden. Hab ich aber noch nie probiert ...

klar, an sich ne gute idee, aber realisierbar?

Ungetestet, aber zwei sshd_config in beiden das Interface fest angeben (steht irgendwo oben, hab's nicht im Kopf) und dann einen Zweiten sshd mit dem neuen Config-File starten.

Aber du weißt schon das der Key im Grundzustand symetrisch verschlüsselt ist wenn du eine Passphrase eingegeben hast? Wenn die ausreichend lang ist und du eventuell noch einige Klartextkommentare aus dem unverschlüsselten Key entfernst, sollte es extrem schwierig sein die Verschüsselung des Keys zu knacken.

Und falls du ein Problem mit dem Anlegen der Homeverzeichnisse hast ... man kann in der sshd_config auch angeben wo der Server die Keys suchen soll. Du könntest die also z.B. auch zentral in /etc/blub ablegen.

[kernelpanic]

Hi
meine idee wäre nen nis und nfs über nen ssh tunnel zu machen.schmerzfrei und sicher

[meandtheshell]

meine idee wäre nen nis und nfs über nen ssh tunnel zu machen.schmerzfrei und sicher

aja ?

@daFreak
1)
dein Problem ist einfacher als du es darstellst - ich stimme nil zu das es am einfachsten wäre, sich aus einem WAN heraus auf diesem Rechner mittels privatekey + passphrase anzumelden. Die Angst bezüglich der passphrase ist unbegründet denn diese wird erst nach hostauthentication übertragen d.h. dein ssh tunnel ist bereits mittels symetrischen key verschlüsselt

du kannst nun

2.1)
den gleichen sshd verwenden und loggin Versuche aus dem WAN und aus dem LAN getrennt behandelt indem du den sshd auf versch. Ports horchen lässt - d.h. inntern lässt du die Leute mittels key den loggin machen

2.2)
du hast zwei sshd's und bindest diese je an ein Interface (physikalisch oder virtuelles)

Ich würde 2.1 nehmen.

Sollte die Paranoia dann noch immer im roten Bereich sein kannst du zusätzliche Maßnahmen ergreifen.

- fail2ban [1]
- port knocking [2]

[1]

Code: Alles auswählen

apt-cache show fail2ban

[2] http://en.wikipedia.org/wiki/Port_knocking

markus

[daFreak]

2.1)
den gleichen sshd verwenden und loggin Versuche aus dem WAN und aus dem LAN getrennt behandelt indem du den sshd auf versch. Ports horchen lässt - d.h. inntern lässt du die Leute mittels key den loggin machen

das hört sich doch schon recht gut an
hast du ein beispiel wie so eine sshdconfig aussehen könnte?

[meandtheshell]

hallo

hast du ein beispiel wie so eine sshdconfig aussehen könnte?

Hm ... du Faultier du

- zuerst einmal "man sshd_config" lesen (es wird ein Port pro Zeile geschrieben)
- Google verwenden

markus

[daFreak]

ey... gegoogled hab ich schon ohne ende! =)

ich denk dann hab ich das falsch verstanden:
ich hab ports mit interfaces verwechselt und ich dachte die benutzerauthentifizierung auf die interfaces beziehen.... und jetzt bitte kein kommentar =)

aber(!) wenn ich das mit ports mache kann ich dann die benutzerauthentifizierung seperat einstellen (für jeden port)?! weil dann wärs perfekt!